CN114168918A - 基于puf的人脸信息保护及双向认证*** - Google Patents

Abstract

本发明公开了基于PUF的人脸信息保护及双向认证***，其包括可撤销人脸模板生成阶段、注册阶段、客户端验证阶段、服务端验证阶段；所述可撤销人脸模板生成阶段包括特征提取模块、随机置换模块；所述注册阶段包括辅助信息生成模块；所述客户端验证阶段包括纠错码模块、哈希验证模块；所述服务端验证阶段包括模板还原模块、模板匹配模块；本发明可撤销生物模板与PUF的结合，可以实现终端设备与终端用户之间的双向身份验证，抵御人脸信息的泄露。

Description

基于PUF的人脸信息保护及双向认证***

技术领域

本发明涉及一种基于PUF的人脸信息保护及双向认证***，用于实现终端设备与终端用户之间的双向身份验证，属于基于生物特征的身份认证领域。

背景技术

随着社会的进步和信息技术的发展，人们越来越关注信息安全的问题，合法用户的身份认证在各个领域都至关重要。在传统的身份认证***中，实体物件如钥匙、证件、智能卡等应用于身份认证，而这些实体存在着丢失与被窃的风险。密码学技术为信息安全提供了强有力的保障，密钥广泛应用于各种认证***中：如果密钥很短，这种身份验证机制的安全性就非常脆弱，容易发生猜测攻击和暴力破解攻击；如果密钥很长，用户很难准确地记住。生物识别技术也越来越广泛地应用于各个领域的身份认证***中，在物联网、区块链、云计算等领域作为用户的物理身份。近年来，生物特征数据的隐私和安全性越来越受到人们的关注。生物特征数据与用户的身份永久关联，一旦被窃取会导致敏感信息的泄露，且用户的生物信息是无法撤销的，造成不可逆的严重损失。可撤销生物模板的提出，保护了原始的生物信息，将原始生物信息与随机数相结合，经过某些特护变换以达到可撤销性、不可逆性。但这些随机数仍然需要被存储在物理设备中，同样存在着被窃取、丢失的风险。

每个人的生物信息都是独一无二的，PUF即是设备独一无二的物理“指纹”。由于深亚微米制造过程的工艺偏差，集成电路中的每一个晶体管可能产生可测量的输出差异，这种物理差异是无法复制不可克隆且不可预测的。一个激励的输入，只会有唯一的一个响应输出，因此PUF可以协助秘密数据的存储，而保护数据不被直接地存储在非易失性存储器(NVM)中，抵御传统的物理攻击，避免信息的泄露。

发明内容

本发明所要解决的技术问题是提供一种基于PUF的人脸信息保护及双向认证***，通过用户设备PUF生成随机数种子以生成可撤销的人脸生物模板，且无需保存随机数避免攻击者对人脸信息的攻击。同时，利用PUF作为物理“指纹”的唯一性，完成客户端对服务端的验证。此外，利用服务端设备PUF协助保护用户的可撤销生物模板的存储，避免信息的泄露进而保护用户的原始生物信息。

为解决上述技术问题，本发明基于PUF的人脸信息保护及双向认证***，包括可撤销人脸模板生成阶段、注册阶段、客户端验证阶段、服务端验证阶段。

所述可撤销人脸模板生成阶段包括特征提取模块、随机置换模块，所述特征提取模块，用于提取采集到的人脸图像特征，将其特征提取为512位二进制码，为了提高特征提取在环境光照变化、人脸方向变化、人脸遮挡等方面性能，所述特征提取模块使用基于FaceNet的深度CNN模型从人脸图像中提取特征向量，并通过L2归一化生成人脸向量，最终提取为512维特征向量。所述随机置换模块，用于生成对原始生物模板进行置换操作的随机数，以PUF响应作为随机数种子，实现可撤销人脸模板的生成。为了保护可撤销生物模板的随机数不被窃取，所述随机置换模块依据客户端中PUF的CRPs，将PUF响应作为将置换随机数的生成种子，客户端数据库中仅存储PUF激励。以PUF响应作为随机数生成器的种子生成随机数，完成对原始生物模板的置换操作以生成可撤销的生物模板；用户本地只保留PUF激励，避免了随机数被窃取的风险，攻击者无法可逆出原始生物模板；同时，通过替换PUF的CRP即可完成生物模板的可撤销性。

所述注册阶段包括辅助信息生成模块，所述辅助信息生成模块，用于注册阶段生成验证阶段所需的可以还原可撤销人脸模板的辅助信息，实现对人脸信息存储阶段的隐藏，抵御信息泄露。

所述客户端验证阶段包括纠错码模块、哈希验证模块，所述纠错码模块，用于完成PUF响应中噪声的去除，实现稳定的512位PUF响应的生成；为了纠正因噪声等对于PUF响应造成的影响，所述纠错码模块采用Hadamard码和Reed-Solomon码相结合的双层纠错技术，纠正因噪声对于PUF响应造成的影响，从而在用户验证时完成可撤销模板的生成。所述哈希验证模块，用于用户验证服务端的真实性，实现用户对服务端的身份验证。所述哈希验证模块采用的是MD5消息摘要算法。

所述服务端验证阶段包括模板还原模块、模板匹配模块，所述模板还原模块，用于服务端对注册阶段可撤销生物特征的还原；所述模板匹配模块，用于服务端对用户身份信息的验证，通过比对两组生物模板的汉明距离确定是否通过验证。

上述基于PUF的人脸信息保护及双向认证***，包括如下步骤：

可撤销人脸模板生成阶段：(1)摄像头采集人脸图像，采用深度CNN架构提取人脸图像，并通过L2归一化生成512维二值人脸向量；(2)用户的嵌入式设备PUF随机生成一组CRP，将其响应作为随机数的种子生成512位随机数，其随机数的大小都于(1,512)中随机排列，对二值人脸向量进行置换操作，生成可撤销的人脸生物模板T；

注册阶段：步骤A、将用户ID、可撤销的人脸生物模板T、用户PUF响应的哈希值H(R)发送至服务器端；步骤B、服务器端的嵌入式设备PUF随机生成一组CRP，将512位的响应与可撤销的人脸生物模板经Reed-Muller码编码后的Tb做异或操作，生成辅助信息HelpData，保留Challenge(S)，删除Reponse(S)；步骤C、将用户ID、辅助信息HelpData、服务端Challenge(S)、用户PUF响应的哈希值H(R)打包存储在存储器中；步骤D、注册完成后，客户端仅保存Challenge(C)、用户ID；

客户端验证阶段：(i)用户向服务端发送验证请求，发送内容包括用户ID与一个随机数N；(ii)服务端接收到验证请求后，查找数据库中该用户ID所对应的哈希值H(R)，将H(R)与随机数N一起做哈希运算得到HS，将HS发送回客户端；(iii)客户端PUF根据本地保存的Challenge(C)作为激励，将响应经过双重纠错之后得到Response(C)’，计算该响应的哈希值H(R)’，进一步计算H(R)’与N的哈希值HC，比较HC与步骤(ii)中的HS是否相同，若完全相同则客户端验证成功；

服务端验证阶段：(a)客户端验证成功后，客户端根据新采集到的人脸图像、Response(C)’作为置换随机数生成可撤销生物模板T’，发送至服务端请求验证；(b)根据用户ID对应的Challenge(S)生成PUF响应Response(S)’，将Response(S)’与辅助信息HelpData异或，经过Reed-Muller码解码还原注册时的可撤销生物模板T；(c)服务端将接收到的可撤销生物模板T’与还原的可撤销生物模板T做汉明距离，小于阈值τ则为服务端验证成功，否则失败。

只存储辅助信息HelpData而非直接存储可撤销性生物模板，保护了用户身份信息，抵御信息的泄露。同时通过纠错码的编解码，可以消除PUF由于噪声等影响产生的波动。

本发明与现有技术相比，具有以下有益技术效果：

(1)由于采用可撤销人脸模板生成阶段的第二步，用户设备PUF的响应作为随机数生成的种子，可以不用直接将随机数存储在存储器中，抵御了攻击者窃取随机数以还原原始人脸模板的攻击，同时完成了该模板的可撤销性，可以通过替换PUF响应即随机数种子来更换随机数。

(2)由于注册阶段的第二步、客户端验证阶段的第三步及服务端验证阶段的第二步，都采用了纠错码机制以获得稳定的PUF响应输出，从而提高生物特征识别技术的准确性，避免噪声等影响导致验证的失败。

(3)由于客户端验证阶段的三个步骤，通过响应哈希值以及与随机数的结合，完成了客户端对服务端的身份验证，避免攻击者模拟服务端以重复收集用户的个人模板信息。

(4)由于服务端验证阶段的三个步骤，利用PUF响应和辅助信息还原出注册阶段的用户可撤销生物模板信息。不直接存储用户模板信息，避免用户信息的泄露。同时由于PUF的唯一性、不可克隆，我们不存储PUF响应，攻击者也无法根据辅助信息推出用户的模板信息。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为基于PUF的人脸信息保护及双向认证***的可撤销人脸模板生成阶段及注册阶段的具体步骤图。

图2为基于PUF的人脸信息保护及双向认证***的客户端验证阶段及服务端验证阶段的具体步骤图。

具体实施方式

本发明基于PUF的人脸信息保护及双向认证***，主要包括可撤销人脸模板生成阶段、注册阶段、客户端验证阶段、服务端验证阶段四个部分。

图1为可撤销人脸模板生成阶段及注册阶段的具体步骤图，如图1所示，用户设备PUF作为随机数生成器的种子，人脸图像特征提取得到的特征向量根据随机数进行置换操作，生成的可撤销生物模板与经过Reed-Muller码编码的服务端PUF进行异或得到辅助信息。最后，将用户ID、用户设备PUF的响应哈希值与辅助信息HelpData存入服务端的非易失性存储器中。具体步骤如下：

步骤A1：使用基于FaceNet的深度CNN模型从人脸图像中提取特征向量，并通过L2归一化生成512维二值人脸向量。

步骤A2：通过用户设备PUF作为随机数生成器的种子以生成512位，每一位值都介于(1,512)的随机数组，将此随机数组与二值人脸向量进行置换操作，以生成可撤销的人脸生物模板，同时计算并保留该响应的激励与响应哈希值。

步骤A3：服务端PUF响应经Reed-Muller码编码后与步骤A2中的可撤销人脸生物模板进行异或操作，生成HelpData。最后将该PUF激励、步骤A2中的用户设备PUF响应的哈希值、HelpData以及用户ID存入服务端的NVM中。

本发明基于PUF的人脸信息保护及双向认证***中采用PUF响应作为随机数生成器的种子，可以保证随机数的安全性，即不会被窃取或更改。同时，针对原始生物模板，可撤销生物模板是根据随机数进行按位置换的，是不可逆且可撤销的。

图2为客户端验证阶段及服务端验证阶段的具体步骤图，如图2所示，客户端验证阶段，用户设备PUF根据激励生成响应，经过纠错码生成稳定的PUF响应，并向服务端发送用户ID、随机数N请求验证，通过对比服务端传输的Hash(Hash(R)||N)来验证服务端的真实性，验证成功后发送即将验证的生物模板。在服务端验证阶段，服务端PUF根据激励生成响应，与辅助信息异或后经过纠错码解码恢复可撤销生物模板，与用户发送的验证模板进行汉明距离匹配，小于阈值即验证成功。具体如下：

步骤B1：用户向服务端发送验证请求，同时发送用户ID、随机数N以验证服务端的真实性。用户PUF根据存储的激励生成响应，经过Hadamard码和Reed-Solomon码相结合的双层纠错得到Response’，进一步获得哈希值Hash(R)’。

步骤B2：服务端接收到用户ID与随机数N后，查询数据库中存储的用户PUF响应哈希值，向客户端发送验证公式，如果满足以下公式则验证成功：

Hash(Hash(R)’||N)＝Hash(Hash(R)||N)

步骤B3：将步骤B1中的Response’作为随机数生成器的种子生成随机数，与认证过程中的根据新人脸图像采取得特征向量进行置换操作，生成可撤销生物模板T’。

步骤B4：客户端验证成功后，用户将自己的可撤销生物模板T’发送至服务端。

步骤B5：服务端PUF根据存储的激励生成响应，与辅助信息HelpData进行异或之后经过Reed-Muller码解码操作还原注册时的可撤销生物模板T，如果满足以下公式则验证成功：

Hamming(T,T’)<τ

本发明基于PUF的人脸信息保护及双向认证***中采用Hadamard码、Reed-Solomon码及Reed-Muller码作为纠错码。其中，Hadamard码与Reed-Solomon码用于客户端PUF的响应纠正，因为其需要高准确性所以采用了双重纠码技术，因为PUF作为随机数种子不应有任何偏差，否则会导致真实用户认证失败的情况。在恢复服务端的可撤销生物模板时，采用了Reed-Muller码，可以灵活的通过对R、K的调整来设计***的纠错能力，解决因为噪声引发的响应错误。

本发明基于PUF的人脸信息保护及双向认证***中采用PUF的CRP、唯一性、不可克隆性，保证了生成模板时的随机数、服务端注册时保存的生物特征模板不直接存储在存储器中，避免了攻击者的攻击与信息的泄露，同时也通过PUF完成了双向的身份验证。

上述实施例不以任何方式限制本发明，凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。

Claims (7)

1.基于PUF的人脸信息保护及双向认证***，其特征在于包括可撤销人脸模板生成阶段、注册阶段、客户端验证阶段、服务端验证阶段；

所述可撤销人脸模板生成阶段包括特征提取模块、随机置换模块；所述注册阶段包括辅助信息生成模块；所述客户端验证阶段包括纠错码模块、哈希验证模块；所述服务端验证阶段包括模板还原模块、模板匹配模块；

所述特征提取模块，用于提取采集到的人脸图像特征，将其特征提取为512位二进制码；所述随机置换模块，用于生成对原始生物模板进行置换操作的随机数，以PUF响应作为随机数种子，实现可撤销人脸模板的生成；

所述辅助信息生成模块，用于注册阶段生成验证阶段所需的可以还原可撤销人脸模板的辅助信息，实现对人脸信息存储阶段的隐藏，抵御信息泄露；

所述纠错码模块，用于完成PUF响应中噪声的去除，实现稳定的512位PUF响应的生成；所述哈希验证模块，用于用户验证服务端的真实性，实现用户对服务端的身份验证；

所述模板还原模块，用于服务端对注册阶段可撤销生物特征的还原；所述模板匹配模块，用于服务端对用户身份信息的验证。

2.根据权利要求1所述的基于PUF的人脸信息保护及双向认证***，其特征在于：所述特征提取模块使用基于FaceNet的深度CNN模型从人脸图像中提取特征向量，并通过L2归一化生成人脸向量，最终提取为512维特征向量。

3.根据权利要求1所述的基于PUF的人脸信息保护及双向认证***，其特征在于：所述随机置换模块依据客户端中PUF的CRPs，将PUF响应作为将置换随机数的生成种子，客户端数据库中仅存储PUF激励。

4.根据权利要求3所述的基于PUF的人脸信息保护及双向认证***，其特征在于：以PUF响应作为随机数生成器的种子生成随机数，完成对原始生物模板的置换操作以生成可撤销的生物模板；用户本地只保留PUF激励，避免了随机数被窃取的风险，攻击者无法可逆出原始生物模板；同时，通过替换PUF的CRP即可完成生物模板的可撤销性。

5.根据权利要求1所述的基于PUF的人脸信息保护及双向认证***，其特征在于：所述纠错码模块采用Hadamard码和Reed-Solomon码相结合的双层纠错技术，纠正因噪声对于PUF响应造成的影响，从而在用户验证时完成可撤销模板的生成。

6.根据权利要求1所述的基于PUF的人脸信息保护及双向认证***，其特征在于：所述哈希验证模块采用的是MD5消息摘要算法。

7.根据权利要求1所述的基于PUF的人脸信息保护及双向认证***，其特征在于包括如下步骤：

可撤销人脸模板生成阶段：(1)摄像头采集人脸图像，采用深度CNN架构提取人脸图像，并通过L2归一化生成512维二值人脸向量；(2)用户的嵌入式设备PUF随机生成一组CRP，将其响应作为随机数的种子生成512位随机数，其随机数的大小都于(1,512)中随机排列，对二值人脸向量进行置换操作，生成可撤销的人脸生物模板T；

注册阶段：步骤A、将用户ID、可撤销的人脸生物模板T、用户PUF响应的哈希值H(R)发送至服务器端；步骤B、服务器端的嵌入式设备PUF随机生成一组CRP，将512位的响应与可撤销的人脸生物模板经Reed-Muller码编码后的Tb做异或操作，生成辅助信息HelpData，保留Challenge(S)，删除Reponse(S)；步骤C、将用户ID、辅助信息HelpData、服务端Challenge(S)、用户PUF响应的哈希值H(R)打包存储在存储器中；步骤D、注册完成后，客户端仅保存Challenge(C)、用户ID；

客户端验证阶段：(i)用户向服务端发送验证请求，发送内容包括用户ID与一个随机数N；(ii)服务端接收到验证请求后，查找数据库中该用户ID所对应的哈希值H(R)，将H(R)与随机数N一起做哈希运算得到HS，将HS发送回客户端；(iii)客户端PUF根据本地保存的Challenge(C)作为激励，将响应经过双重纠错之后得到Response(C)’，计算该响应的哈希值H(R)’，进一步计算H(R)’与N的哈希值HC，比较HC与步骤(ii)中的HS是否相同，若完全相同则客户端验证成功；

服务端验证阶段：(a)客户端验证成功后，客户端根据新采集到的人脸图像、Response(C)’作为置换随机数生成可撤销生物模板T’，发送至服务端请求验证；(b)根据用户ID对应的Challenge(S)生成PUF响应Response(S)’，将Response(S)’与辅助信息HelpData异或，经过Reed-Muller码解码还原注册时的可撤销生物模板T；(c)服务端将接收到的可撤销生物模板T’与还原的可撤销生物模板T做汉明距离，小于阈值τ则为服务端验证成功，否则失败。

Images